マサチューセッツ工科大学は、ユーザー名/パスワード交換、ネットワーク セキュリティ、クライアント コンピュータ セキュリティ、ログインの持続などのネットワーク セキュリティ問題に対処できるように Kerberos を開発しました。Kerberos とは、セキュリティで保護された認証、およびネットワーク リソースへの「シングル サインオン」のサポートを提供するプロトコルです。シングル サインオンのサポートにより、ユーザーはネットワーク ドメインに 1 回ログインして認証を受けた後は、ユーザー名とパスワードを再送信しなくても他のコンピュータ上のリソースにアクセスすることができます。Kerberos では、クライアントと認証サーバーのみが機密情報の一部を共有することを前提として機能し、共有情報がユーザー セッション全体で正確であることを確認するための方法が提供されます。 クライアント コンピュータ上のユーザーがユーザー名とパスワードを入力し、その情報をサーバーに送信してログインすると、Kerberos では最初にそのユーザーが認証され、次にそのセッションのクライアントを一意に識別するチケットが発行されます。ユーザー セッション、ログイン後の他のアプリケーションや共有ボリュームへのアクセス時にこのチケットが使用されます。Kerberos では、暗号化されたキー交換が提供され、内部ネットワーク(ファイアウォールの背後)と安全でないネットワーク(インターネットなど)の両方のセキュリティが確保されます。ユーザーが認証されると、それ以降のすべての通信がプライバシーとセキュリティのために暗号化されます。Kerberos が Windows Server 上で機能する仕組みの詳細については、 http://www.microsoft.com/windowsserver2003/technologies/security/kerberos/default.mspx を参照してください。
Access Connect は、AFP プロトコルでの Kerberos 拡張をサポートしており、Active Directory と直接連携して動作します。Access Connect は、Kerberos サービス プロバイダとして登録され、Macintosh チケットを認証できます。チケット自体は Kerberos での標準形式であるため、Access Connect は Macintosh からチケットを取得し、認証用として Microsoft Windows Active Directory に渡し、Active Directory でクライアントのチケットが有効であることが確認されると、Windows サーバーのリソースへのアクセスを許可します。